{"id":27063,"date":"2022-04-18T10:45:51","date_gmt":"2022-04-18T08:45:51","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27063"},"modified":"2022-04-18T10:49:16","modified_gmt":"2022-04-18T08:49:16","slug":"fakecalls-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/fakecalls-banking-trojan\/27063\/","title":{"rendered":"Fakecalls: un troyano que habla"},"content":{"rendered":"

Los ciberdelincuentes cada vez presentan un malware<\/em> m\u00e1s sofisticado. Por ejemplo, el a\u00f1o pasado fuimos testigos de la aparici\u00f3n de un troyano bancario inusual llamado Fakecalls que, adem\u00e1s de las funciones habituales de espionaje, contaba con una interesante capacidad que le permit\u00eda \u201chablar\u201d con la v\u00edctima bajo la apariencia de un empleado del banco. Hay poca informaci\u00f3n sobre Fakecalls online, por ello nos hemos decidido a arrojar algo de luz sobre sus capacidades.<\/p>\n

Un troyano disfrazado<\/h2>\n

Fakecalls imita las aplicaciones m\u00f3viles de los bancos coreanos m\u00e1s populares, entre ellos KB (Kookmin Bank) y KakaoBank. Curiosamente, adem\u00e1s de los logotipos habituales, los creadores del troyano muestran en la pantalla de Fakecalls los n\u00fameros de soporte de los respectivos bancos. Estos n\u00fameros de tel\u00e9fono parecen reales; por ejemplo, el 1599-3333 se puede encontrar en la p\u00e1gina principal del sitio web oficial de KakaoBank.<\/p>\n

\"El

El troyano imita las aplicaciones bancarias KB (izquierda) y KakaoBank (derecha)]<\/p><\/div>\n

Una vez instalado, el troyano solicita de inmediato una gran cantidad de permisos, incluido el acceso a los contactos, el micr\u00f3fono, la c\u00e1mara, la geolocalizaci\u00f3n, el gestor de llamadas, etc.<\/p>\n

La llamada al banco<\/h2>\n

A diferencia de otros troyanos bancarios, Fakecalls puede imitar conversaciones telef\u00f3nicas con atenci\u00f3n al cliente. Si la v\u00edctima llama a la l\u00ednea directa del banco, el troyano interrumpe discretamente la conexi\u00f3n y abre su propia pantalla de llamada falsa en lugar de la aplicaci\u00f3n de llamadas corriente. La llamada parece normal, pero lo cierto es que ahora son los atacantes los que tienen el control.<\/p>\n

Lo \u00fanico que podr\u00eda revelar al troyano en esta etapa es la pantalla de llamada falsa. Fakecalls tiene un solo idioma de interfaz: el coreano. Esto significa que, si el usuario tiene configurado otro idioma en el tel\u00e9fono, por ejemplo, el ingl\u00e9s, es probable que acabe sospechando.<\/p>\n

\"La

La pantalla de la aplicaci\u00f3n de llamadas est\u00e1ndar (izquierda) y la pantalla de llamadas falsa (derecha)<\/p><\/div>\n

Despu\u00e9s de que se intercepte la llamada, pueden darse dos situaciones. En la primera, Fakecalls conecta directamente a la v\u00edctima con los ciberdelincuentes, ya que la aplicaci\u00f3n tiene permiso para realizar llamadas salientes. En la segunda, el troyano reproduce un audio pregrabado imitando el saludo est\u00e1ndar del banco.<\/p>\n

\"Fragmento

Fragmento de c\u00f3digo de llamadas falsas que reproduce el audio grabado durante una llamada saliente<\/p><\/div>\n

Para que el troyano mantenga un di\u00e1logo realista con la v\u00edctima, los ciberdelincuentes graban varias frases (en coreano) que suelen pronunciar los empleados del buz\u00f3n de voz o del centro de llamadas.<\/p>\n

Por ejemplo, la v\u00edctima podr\u00eda escuchar algo como esto: \u201cHola. Gracias por llamar a KakaoBank. Nuestro centro de llamadas est\u00e1 saturado. Un asesor se pondr\u00e1 en contacto con usted lo antes posible. <\u2026> Para mejorar la calidad del servicio, la conversaci\u00f3n ser\u00e1 grabada.\u201d O: \u201cBienvenido a Kookmin Bank. Su conversaci\u00f3n ser\u00e1 grabada. En breves instantes un operador se pondr\u00e1 en contacto con usted\u201d.<\/p>\n

Despu\u00e9s, los atacantes, bajo la apariencia de un empleado del banco, pueden intentar obtener datos de pago u otra informaci\u00f3n confidencial de la v\u00edctima.<\/p>\n

Adem\u00e1s de las llamadas salientes, Fakecalls tambi\u00e9n puede falsificar llamadas entrantes. Cuando los ciberdelincuentes quieren contactar con la v\u00edctima, el troyano muestra su propia pantalla sobre la del sistema. Como resultado, el usuario no ve el n\u00famero real utilizado por los ciberdelincuentes, sino el que muestra el troyano, como el n\u00famero de tel\u00e9fono del servicio de soporte del banco.<\/p>\n

El kit de herramientas de spyware<\/em><\/h2>\n

Adem\u00e1s de imitar la asistencia telef\u00f3nica al cliente, Fakecalls presenta otras caracter\u00edsticas m\u00e1s t\u00edpicas de los troyanos bancarios. Por ejemplo, bajo las \u00f3rdenes de los atacantes, este malware<\/em> puede encender el micr\u00f3fono del tel\u00e9fono de la v\u00edctima y enviar grabaciones desde \u00e9l a su servidor, as\u00ed como transmitir audio y v\u00eddeo en secreto desde el tel\u00e9fono en tiempo real.<\/p>\n

Pero eso no es todo. \u00bfRecuerdas los permisos que solicit\u00f3 el troyano durante la instalaci\u00f3n? Los ciberdelincuentes pueden usarlos para determinar la ubicaci\u00f3n del dispositivo, copiar la lista de contactos o archivos (incluidas fotos y v\u00eddeos) del tel\u00e9fono a su servidor y acceder al historial de llamadas y mensajes de texto.<\/p>\n

Estos permisos permiten que el malware<\/em> no solo esp\u00ede al usuario, sino que tambi\u00e9n controle su dispositivo hasta cierto punto, lo que le concede al troyano la capacidad de desconectar las llamadas entrantes y eliminarlas del historial.<\/p>\n

Esto permite a los estafadores, entre otras cosas, bloquear y ocultar llamadas reales de los bancos.<\/p>\n

Las soluciones de Kaspersky detectan este malware<\/em> con el veredicto Trojan-Banker.AndroidOS.Fakecalls y protegen el dispositivo.<\/p>\n

C\u00f3mo mantenerse protegido<\/h2>\n

Para evitar que tanto tus datos personales como tu dinero caigan en manos de los ciberdelincuentes, sigue estos sencillos consejos:<\/p>\n